SIGNBT Malware
Az Észak-Koreával kapcsolatban álló Lazarus csoportot egy közelmúltbeli kiberkampány elkövetőjeként azonosították. Ebben a műveletben egy azonosítatlan szoftvergyártó esett áldozatul egy támadásnak, amelyet egy prominens szoftver jól ismert biztonsági réseinek kihasználása segített elő. A támadássorozat végül fenyegető szoftvercsaládok, köztük a SIGNBT bevezetéséhez vezetett.
Ezenkívül a támadók egy széles körben elismert hackereszközt használtak, amelyet ez a fenyegető szereplő általánosan használt olyan tevékenységekhez, mint a potenciális áldozatok profilalkotása és rakományok szállítása. Ezt az eszközt LPEClient-nek nevezik a nyomon követési erőfeszítésekben.
Tartalomjegyzék
Az APT (Advanced Persistent Threat) hackercsoport ismételten ugyanazt az áldozatot célozta meg
A SIGNBT malware felhasználása ebben a támadásban sokrétű fertőzési folyamatot mutatott be, és fejlett technikákat alkalmazott. A Lazarus Group kitartott amellett, hogy kihasználta a megcélzott cég szoftverén belüli sebezhetőségeket azzal a céllal, hogy kompromittálja a többi szoftverfejlesztőt. Legutóbbi tevékenységeik során 2023. július közepéig több áldozatot azonosítottak.
Ezeket az áldozatokat törvényes biztonsági szoftveren keresztül támadták meg, amelyet a webes kommunikáció digitális tanúsítványokon keresztül történő titkosítására terveztek. A szoftver nevét nem hozták nyilvánosságra, és a pontos módszer, amellyel a SIGNBT terjesztésére felfegyverezték, nem hozták nyilvánosságra.
Amellett, hogy számos stratégiát alkalmaztak a feltört rendszerek megtámasztására és fenntartására, a támadássorozatok egy memórián belüli betöltőt is alkalmaztak, amely csatornaként szolgált a SIGNBT rosszindulatú program elindításához.
A SIGNBT Malware további utasításokért felveszi a kapcsolatot egy C2-kiszolgálóval
A SIGNBT elsődleges célja, hogy kommunikációt létesítsen egy távoli szerverrel, és további utasításokat kérjen le a végrehajtáshoz a fertőzött gazdagépen. Ez a rosszindulatú program arról kapta a nevét, hogy HTTP-alapú parancs- és vezérlési (C2) kommunikációjában különálló karakterláncokat használ, amelyek előtagja "SIGNBT" van:
- SIGNBTLG, a kezdeti csatlakozáshoz
- SIGNBTKE, a rendszer metaadatainak gyűjtésére, amikor a C2 szervertől SIKER üzenet érkezik
- SIGNBTGC, a parancsok lekéréséhez
- SIGNBTFI, kommunikációs hibák kezelésére
- SIGNBTSR, a sikeres kommunikáció jelzésére
Eközben a Windows hátsó ajtója számos képességgel rendelkezik, amelyek célja az áldozat rendszere feletti irányítás megszerzése. Ezek a képességek magukban foglalják a folyamatok felsorolását, a fájl- és könyvtárműveletek végrehajtását, valamint a hasznos adatok, például az LPEClient és más eszközök telepítését a hitelesítő adatok kinyerésére.
A Lazarus Group tovább fejleszti technikáit és rosszindulatú programarzenálját
2023-ban a kutatók legalább három különböző Lazarus-kampányt azonosítottak. Ezek a kampányok különféle behatolási módszereket és fertőzési eljárásokat alkalmaztak. Mindazonáltal következetesen az LPEClient kártevőt használták a végső szakaszban nem biztonságos szoftverek szállítására.
Az egyik ilyen kampány kulcsszerepet játszott a Gopuram néven ismert implantátum bevezetésében. Ezt az implantátumot a kriptovaluta-cégek elleni kibertámadásoknál alkalmazták a 3CX hang- és videokonferencia-szoftver manipulált verziójával.
Ezek a közelmúltbeli eredmények példát mutatnak a folyamatban lévő, Észak-Koreához köthető kiberműveletekre, és alátámasztják a Lazarus Csoport eszközeinek, stratégiáinak és technikáinak arzenáljának folyamatos fejlesztését és bővítését. A Lazarus Group továbbra is aktív és alkalmazkodóképes fenyegetések szereplője a mai kiberbiztonsági környezetben.
